Таймлайн квантових загроз: як реально підготуватися до постквантового шифрування

Коли квантові комп’ютери зможуть розшифрувати наші дані? Це питання дебатується протягом років, але часто апокаліптичні прогнози не мають під собою чітких технічних основ. Правда вимагає більш диференційованого розуміння: загроза існує, але її горизонт та серйозність залежать від типу шифрування, якого ми обговорюємо. Оригінальна стаття дослідника з a16z розглядає цю тему через призму реальних технічних реалій, а не маркетингових обіцянок.

Реальні строки: чи proche нам квантове зламання шифрування?

Перше, що потрібно розуміти: заяви про те, що квантові комп’ютери розбитимуть криптографію до 2030 року, не базуються на фактичному прогресі в галузі. Дослідники звертають увагу на фундаментальну розбіжність між тим, що оголошують компанії, та тим, що насправді відбувається в лабораторіях.

Щоб розшифрувати сучасне шифрування (на кшталт RSA-2048 або secp256k1), квантовому комп’ютеру потрібна здатність виправляння помилок, достатня кількість логічних кубітів та достатня вірність вентилів. Наразі ніхто не досяг навіть близько. Системи з 1000 фізичних кубітів виглядають вражаючими на папері, але без необхідної вірності та з’єднань вони залишаються переважно аутрічами.

Основні джерела непорозумінь:

«Квантова перевага» — це не те саме, що корисність. Коли компанії оголошують про досягнення “квантової переваги”, вони часто демонструють спеціально разроблені задачі, які працюють на їхньому обладнанні швидше, ніж на класичних комп’ютерах. Але ці завдання не мають практичного застосування.

Тисячі кубітів — далеко не достатньо. Більшість заявлень про “тисячі кубітів” відносяться до квантового відпалення, а не до брам-моделі квантових комп’ютерів, яка потрібна для атак на криптографію.

Логічні проти фізичних кубітів — величезна різниця. Заява про 48 “логічних кубітів” із використанням лише двох фізичних кубітів на логічний кубіт видається неправдоподібною через недостатність корекції помилок такої конфігурації.

Картографічні карти часто оманливі. Багато прогнозів показують тисячі логічних кубітів до певного року, але ці кубіти можуть підтримувати лише “Clifford-операції”, які класичні комп’ютери розраховують ефективно. Алгоритму Шора, необхідному для зламання шифрування, потрібні “не-Clifford операції” (T-вороти), яких там не буває.

Висновок простий: очікування появи квантового комп’ютера, здатного розбити RSA-2048 протягом наступних 5 років, не підтримується публічними досягненнями. Навіть 10 років — це амбіційна оцінка. Однак це не означає, що ми можемо розслабитися, особливо в контексті деяких типів даних.

Атака «вкради зараз, розшифруй потім»: хто дійсно під загрозою?

Це найбільш критичне розрізнення для розуміння того, чому постквантове шифрування вимагає негайних дій, а постквантові підписи — ні.

Для шифрування: Зловмисник може сьогодні перехопити та зберегти зашифровані дані, а потім, коли кванткові комп’ютери з’явиться, розшифрувати все. Це означає, що дані, які повинні залишатися конфіденційними понад 10-50 років, вже сьогодні потребують постквантового захисту. Державні агенти навіть зараз можуть накопичувати гігабайти перехопленої комунікації США для майбутньої дешифрування. Тому, гібридне шифрування з поєднанням класичних та постквантових схем вже впроваджується браузерами (Chrome з Cloudflare), месенджерами (Signal, Apple iMessage).

Для цифрових підписів: Ситуація принципово інша. Якщо ви можете довести, що підпис був створений до того, як з’явилися кванткові комп’ютери, він не може бути ретроспективно підроблено. Кванткові комп’ютери зможуть підробляти нові підписи лише з моменту їх появи. Це означає, що постквантові підписи не мають однакової срочності, як постквантове шифрування.

Для нульових доказів (zkSNARK): Вони також не піддаються атакам “вкради-розшифруй”, оскільки їхня властивість нульового знання гарантує, що ніяка інформація про секрет не розкривається — навіть квантовому комп’ютеру. Таким чином, zkSNARK, створений сьогодні, залишиться криптографічно безпечним завтра, хоч би яка криптографія еліптичних кривих там була використана.

Постквантові підписи: чому поспішати небезпечно

Тут вступає в гру практична сторона переходу. Постквантові схеми підписів мають істотні компроміси:

Розмір та продуктивність: Хеш-підписи (найконсервативніші з точки зору безпеки) мають розмір 7-8 кілобайтів — у 100 разів більше, ніж сучасні підписи еліптичних кривих (64 байти). ML-DSA становить 2,4–4,6 кілобайтів (40–70 разів більше). Навіть Falcon, більш компактний варіант (0,7–1,3 кілобайтів), має критичні складнощі реалізації.

Складність реалізації: Falcon включає операції з плаваючою точкою в постійний час і уже зазнавав успішних атак через бічні канали. Один з його розробників назвав його «найскладнішим криптографічним алгоритмом, який я коли-небудь реалізовував».

Недостатня зрілість: Rainbow та SIKE/SIDH, кандидати на стандартизацію NIST, були класично розбиті класичними комп’ютерами. Це демонструє ризик стандартизації та впровадження схем занадто раніше.

Інтернет-інфраструктура вже робить висновок: мігрувати на постквантові підписи можна будь-коли, немає термінів. Обережність виправдана, оскільки помилка на цьому етапі може бути дорогою. Блокчейни повинні дотримуватися такої ж стратегії.

Блокчейн під тиском: хто вразливий до квантових атак

Публічні блокчейни (Bitcoin, Ethereum): В основному безпечні від атак “вкради-розшифруй”, оскільки вони використовують не-постквантові підписи для авторизації, а не для шифрування. Квантова загроза для Bitcoin — це підробка підписів та крадіжка коштів, а не розшифрування вже відкритих даних про транзакції. Навіть Федеральна резервна система помилялася, коли стверджувала про критичну вразливість Bitcoin щодо квантових атак через HNDL.

Однак Bitcoin стоїть перед унікальними проблемами: повільне управління протоколом, мільйони “сплячих” адрес з відомими публічними ключами, які вартості десятків мільярдів доларів. Навіть якщо квантові комп’ютери не з’являться до 2035 року, сама логістика переходу може зайняти роки. Це змушує Bitcoin розпочати планування вже зараз — не через квантові загрози, які вже тут, а через необхідність координування переходу.

Приватні блокчейни: Вони справді під загрозою. Якщо дані про одержувачів та суми зашифровані або приховані (як у Monero), ці конфіденційні дані можуть бути перехоплені сьогодні та деанонімізовані через квантові атаки завтра. Для них постквантове шифрування або гібридні схеми вже потрібні, або необхідна переробка архітектури, яка не записує дешифровані секрети в блокчейн.

Сім кроків до безпеки постквантового шифрування

На основі вищевикладеного аналізу ось практичні рекомендації:

1. Впровадьте гібридне шифрування негайно, там, де потрібна довгострокова конфіденційність. Гібридні схеми (постквантові + класичні) захищають від атак “вкради-розшифруй” та нівелюють можливі слабкості чисто постквантових схем.

2. Використовуйте хеш-підписи у низькочастотних сценаріях, де розмір некритичен (оновлення ПЗ, прошивка). Це забезпечує консервативну перестраховку та захист від несподіваних прискорень в квантовому розвитку.

3. Блокчейни не повинні поспішати з підписами, але мають розпочати планування. Розробники повинні бути обережні, як і традиційна PKI-спільнота.

4. Bitcoin потребує специфічного плану щодо міграції та політики “сплячих” коштів. Його виклики — переважно управлінські та координаційні, а не технічні.

5. Виділіть час для досліджень постквантових SNARK та комбінованих підписів. Це займе кілька років, але уникнення раннього блокування субоптимальних рішень коштує цієї цени.

6. Розглядайте абстракцію адреси у смарт-контрактних гаманцях для більшої гнучкості при переходу на постквантові примітиви.

7. Приватні блокчейни повинні мігрувати якомога швидше, якщо це припустимо з точки зору продуктивності, через реальну загрозу HNDL для їхньої приватності.

Більший ризик — це реалізація, а не кванткові комп’ютери

Найбільш важливий висновок часто упускається: протягом наступних років вразливості реалізації, бічні канали та атаки введення помилок залишатимуться більш серйозною загрозою, ніж квантові комп’ютери. Для складних систем, як SNARK та постквантові підписи, саме реалізаційні помилки виливаються в катастрофічні наслідки.

Інвестуйте в аудит, фаззинг, формальну верифікацію та багатошарову безпеку. Не дозволяйте квантовій тривозі затулити очі від більш гострих, негайних загроз.

Слухайте критично новини про квантові прориви. Кожен визначний етап насправді доводить, що до цілі ще далеко. Прес-релізи — це звіти про досягнення, які потребують критичного аналізу, а не сигнали до паніки та поспішних дій.